Menu

5.5. XSS 安全漏洞

XSS

目前我们的项目中存在非常严重的 XSS 安全漏洞。作为一个合格的 Web 开发工程师,必须遵循一个安全原则:

永远不要信任用户提交的数据。

我们在创建话题时对用户提交的内容字段 body 太过信任,没有对其做过滤处理,即原封不动的显示在页面上,这是非常危险的。

XSS 也称跨站脚本攻击 (Cross Site Scripting),恶意攻击者往 Web 页面里插入恶意 JavaScript 代码,当用户浏览该页之时,嵌入其中 Web 里面的 JavaScript 代码会被执行,从而达到恶意攻击用户的目的。

一种比较常见的 XSS 攻击是 Cookie 窃取。我们都知道网站是通过 Cookie 来辨别用户身份的,一旦恶意攻击者能在页面中执行 JavaScript 代码,他们即可通过 JavaScript 读取并窃取你的 Cookie,拿到你的 Cookie 以后即可伪造你的身份登录网站。(扩展阅读 —— IBM 文档库:跨站点脚本攻击深入解析

有两种方法可以避免 XSS 攻击:

  • 第一种,对用户提交的数据进行过滤;
  • 第二种,Web 网页显示时对数据进行特殊处...

本文章首发在 Laravel China 社区

为了保证课程的高品质,我们需要对课程进行收费。付费后 才能观看剩余内容。 购买

上一篇 下一篇
讨论数量: 7

ChiTanDaEru
观察器需注册
3 个点赞 | 0 个回复 | 分享
bignose
总结要点:XSS 攻击
3 个点赞 | 0 个回复 | 分享
Winter
安装 HTMLPurifier for Laravel 5?
1 个点赞 | 2 个回复 | 问答
遗忘的影子
该插件有副作用,使用需注意
0 个点赞 | 4 个回复 | 分享
刻意练习,每日精进。
14
点赞
4384
浏览
7
讨论

作者